GDPR Nieuwe verplichtingen? Hoe audit uitvoeren? 27 april 2017

Transcriptie

1 GDPR Nieuwe verplichtingen? Hoe audit uitvoeren? 27 april 2017

2 Agenda 1. Nieuwe verplichtingen onder GDPR 2. Nieuwe verplichtingen onder NIS-Richtlijn 3. GDPR-audit : scope 4. GDPR-audit : fases 5. GDPR-audit : belang van planning 2

4 1. Aanpassen contracten co-verantwoordelijken 1. Verplicht in een contract ( vastleggen in een onderlinge regeling ) 2. Respectieve verantwoordelijkheden en rol, o.a. m.b.t. : Informatieverstrekking Uitoefening rechten betrokkenen 3. Respectieve verhouding met betrokkenen 4. Wezenlijke inhoud aan betrokkenen beschikbaar stellen 5. Ongeacht regeling kan betrokkene zijn rechten uitoefenen m.b.t. en jegens elke verantwoordelijke 4

5 2. Aanpassen contracten verwerkers 1. Ook verplichting voor verwerkers 2. Nieuwe verplichte clausules in schriftelijk contract : Enkel verwerken op schriftelijke instructie van verantwoordelijke, o.a. m.b.t. doorgiften buiten EU Waarborg vertrouwelijkheidsverplichting van personen die verwerken Waarborg nemen beveiligingsmaatregelen art. 32 Naleving voorwaarden voor inhuren van sub-verwerkers Bijstand aan verantwoordelijke bij uitoefening rechten van betrokkenen Bijstand aan verantwoordelijke voor diens naleving van beveiligingsmaatregelen, meldplicht bij datalekken, en privacy impact assessment Wissen of terugbezorgen van gegevens bij einde van contract Bijstand aan verantwoordelijke om diens naleving van artikel over relatie met verwerkers aan te tonen Audits door verantwoordelijke mogelijk maken en eraan meewerken 5

6 3. Voorwaarden voor inhuren sub-verwerkers : Enkel na voorafgaande schriftelijke toestemming van verantwoordelijke Specifieke toestemming Algemene toestemming : informatie over beoogde veranderingen + verantwoordelijke mogelijkheid bieden bezwaar te maken Schriftelijk contract met sub-verwerker met dezelfde clausules als in contract verantwoordelijke-verwerker Hoofdverwerker is aansprakelijk t.a.v. verantwoordelijke voor inbreuken door subverwerker 4. Europese Commissie en privacycommissies kunnen standaardcontractbepalingen opstellen 5. Contracten kunnen ook elektronisch 6. Als verwerker doel en middelen bepaalt : wordt beschouwd als verantwoordelijke 6

7 3. Aanpassen privacy policies 1. Nieuwe voorwaarden voor geldige toestemming Expliciet Gelaagd 2. Vermelding nieuwe rechten van betrokkenen Recht op beperkte verwerking Recht op overdraagbaarheid 3. Vermelding nieuwe informatie, bv. : Rechtsgrond verwerking Als rechtsgrond = gerechtvaardigd belang vermelding gerechtvaardigd belang Mogelijk tot intrekking van toestemming Bewaartermijn Contactgegevens van Data Protection Officer Recht op klacht bij Privacycommissie 7

8 4. Melden van datalekken 1. Wat is een datalek ( data breach )? 8

9 9

10 10

11 11

12 12

13 13

14 14

15 15

16 16

17 17

18 18

19 2. Melden aan Privacycommissie Binnen 72 uur na kennisname Uitzondering : als niet waarschijnlijk dat lek risico inhoudt voor rechten betrokkene Als niet binnen 72 uur : motivering voor vertraging Als onmogelijk alle informatie in één keer : gefaseerd Documenteerplicht van de inbreuken (o.a. feiten, gevolgen en maatregelen) Meldplicht verwerker aan verantwoordelijke : zonder onredelijke vertraging Inhoud minstens : Aard van de inbreuk Indien mogelijk categorieën van betrokkenen en persoonsgegevensregisters Bij benadering aantal betrokkenen en persoonsgegevensregisters Naam en contactgegevens Data Protection Officer of ander contactpunt De waarschijnlijke gevolgen Voorgestelde of reeds getroffen maatregelen om lek aan te pakken 19

20 3. Melden aan betrokkenen Enkel als inbreuk waarschijnlijk een hoog risico inhoudt voor betrokkene Onverwijld Uitzonderingen : Technische en organisatorische beschermingsmaatregelen getroffen (bv. encryptie) Intussen maatregelen genomen waardoor hoog risico zich waarschijnlijk niet meer zal voordoen Onevenredige inspanningen mededeling aan het publiek Als nog geen melding aan betrokkenen, Privacycommissie kan : Melding aan betrokkenen verplichten Beslissen dat een uitzondering van toepassing is 20

21 21

22 22

23 23

24 24

25 25

26 26

27 27

28 28

29 29

30 30

31 31

32 5. Data Protection Officer 1. Verplicht in slechts 3 gevallen : Overheidsinstanties (= nationaal recht) Kernactiviteit = regelmatige en stelselmatige observatie op grote schaal van mensen Kernactiviteit = verwerking op grote schaal van gevoelige gegevens en misdrijven 2. Bij twijfel en geen aanstelling : interne motivering 3. Kan vrijwillig : maar moet dan wel voldoen aan vereisten 4. Kan gezamenlijk voor bedrijvengroep, op voorwaarde dat DPO : Bereikbaar is vanuit elke vestiging Met privacycommissies kan communiceren in de lokale taal 32

33 5. Inhoudelijke vereiste : Deskundigheid ( expert knowledge ) op gebied van wetgeving en praktijk inzake gegevensverwerking 6. Functionele vereisten Onafhankelijkheid Geen instructies Autonomie en resources Geen ontslag of bestraffing voor uitoefening van taken Rechtstreeks rapporteren aan hoogste leidinggevende Geen belangenconflict Intern of extern (dienstencontract) 33

34 7. Taken : Intern : Informeren (o.a. opleidingen personeel) Toezien op naleving Audits begeleiden Moet intern bij alles betrokken worden Hoe : pragmatisch door selectie en prioritisering volgens hoogste risicos s Naar buiten toe : Contactpersoon voor Privacycommissie Contactpersoon voor betrokkenen 8. Geheimhoudingsplicht Contacteren van Privacycommissie voor advies wel toegelaten 34

35 6. Gedragscodes per sector 1. Lidstaten en privacycommissies moeten die bevorderen 2. Voordelen : Het wiel niet heruitvinden Verhoogde rechtszekerheid Kan worden gebruikt als een element om aan te tonen dat is voldaan aan verplichtingen omtrent : Technische en organisatorische maatregelen Gegevensbeschermingsbeleid Relatie met verwerkers Beveiliging Privacy impact assessments Aansluiting is factor bij beoordeling hoogte boete 3. Bij twijfel en geen aanstelling : interne motivering 35

36 4. Goedkeuring door Privacycommissie 5. Bekendmaking door Privacycommissie 6. Toezichtsorgaan en -mechanisme voorzien 7. Accreditatie toezichtsorgaan door Privacycommissie Onafhankelijkheid en deskundigheid omtrent onderwerp gedragscode Procedures voor toezicht Procedures en structuren voor behandeling van klachten Geen belangenconflict 8. Timingprobleem? 36

38 GDPR 26 april 2016 Persoonsgegevens Iedereen NIS-Richtlijn 6 juli 2016 N&I veiligheid Essentiële diensten Digitale diensten 1) Energie (gas/elektriciteit/olie) 2) Vervoer (lucht/spoor/water/weg 3) Banken 4) Infrastructuur voor financiële markten 5) Zorgaanbieders 6) Levering/distributie drinkwater 7) Digitale infrastructuur : internetknooppunten, DNS-dienstverleners, registers voor TL-domeinnamen 1) Onlinemarktplaatsen 2) Zoekmachines 3) Clouddiensten Mei 2018

39 1. Informatieveiligheidsbeleid 2. Technische en organisatorische maatregelen 3. Periodieke audit van implementatie van informatieveiligheidsbeleid 4. Meldplicht incidenten aan Centrum voor Cyberveiligheid 39

41 Klanten Sociaal secretar. incidenten Leveranciers Verzekering Datacenter Melding Periodiekvan auditeren Marketing Werknemers Bedrijf Adviseurs

43 Voorbereiding Fase 1 Fase 2 Fase 3 Mapping van : As-is Gaps Oplossingen Prioritisering Implementatie Opvolging Organogram Samenstellen projectteam Budget fase 1 Interviews Documenten Procedures Budget fase 2 Overleg Drafting Onderhandelen Communicatie Budget fase 3 Opleidingen Testen Evalueren Updaten

44 Groepsstructuur Company US Inc. Company France SA Periodiek auditeren Melding van incidenten Company Belgium NV Beveiligingsbeleid Company Production BVBA Company Netherlands B.V. Company Germany GmbH

45 Organisatiestructuur CEO IT Manager Infrastruct. Team HR Sales Manager Manager Melding Periodiekvan auditeren incidenten E-Commerce Werknemers Team Applications Team Beveiligingsbeleid Onthaal Product line 1 Team Product line 2 Team

46 Voorbereiding Fase 1 Fase 2 Fase 3 Mapping van : As-is Gaps Oplossingen Prioritisering Implementatie Opvolging Organogram Samenstellen projectteam Budget fase 1 Interviews Documenten Procedures Budget fase 2 Overleg Drafting Onderhandelen Communicatie Budget fase 3 Opleidingen Testen Evalueren Updaten

48 Feb Maa Apr Mei Jun Jul Aug Sep Okt Nov Dec Jan Feb Maa Apr Mei Kick-off + interviews + technische analyses Inventarisatie Assessment Periodiek auditeren Melding van incidenten Prioritiseren + drafting Implementatie Communicatie

49 Over time.lex Nicheadvocatenkantoor in : Privacy, data protection & security Software IT contracten IT litigation Internet E-business E-payments Intellectuele eigendom This TMT boutique is highly praised for its IT and data protection expertise Sources say: "High marks for expertise and prompt, well-executed work." "In data protection, I doubt that there are other firms more aware of the key compliance and regulatory issues than this firm." 49

50 Vragen? Joseph Stevensstraat Brussel T M frederic.debussere@timelex.eu Frederic Debusseré Advocaat Partner 50